WinRAR уязвимост CVE-2025-6218 под активна атака от няколко злонамерени групи; CISA я добави към KEV каталога

WinRAR уязвимост CVE-2025-6218 под активна атака от няколко злонамерени групи; CISA я добави към KEV каталога

CISA включи критичната WinRAR уязвимост CVE-2025-6218 в своя каталог Known Exploited Vulnerabilities (KEV), след като беше потвърдена активната ѝ експлоатация от няколко държавно подкрепяни и криминални групи.

Уязвимостта е path traversal дефект в WinRAR за Windows, който позволява изпълнение на код чрез посещение на злонамерен сайт или отваряне на вредоносен архив.
Проблемът е отстранен през WinRAR 7.12 (юни 2025), но голяма част от системите в света все още използват уязвими версии.

Какво позволява CVE-2025-6218?

Според RARLAB уязвимостта позволява:

• запис на файлове в чувствителни директории (вкл. Windows Startup)

• автоматично изпълнение на зловреден код при следващо влизане в системата

• подмяна на файлове, използвани от легитимни приложения (напр. шаблони)

Кой я експлоатира? Потвърдени групи

1) GOFFEE (Paper Werewolf)

BI.ZONE докладва комбинирани атаки с CVE-2025-6218 + CVE-2025-8088, разпространявани чрез spear-phishing кампании.
Целите: правителствени и корпоративни организации в Русия и Централна Азия.

2) Bitter APT (APT-C-08 / Manlinghua)

Фокус: Южна Азия
Метод: RAR архив, съдържащ

• benign Word документ

• malicious Normal.dotm → осигурява персистентност чрез автоматично зареждане при всяко отваряне на Word

Payload: C# троянец, способен на keylogging, screenshot capture, RDP credential theft и file exfiltration.

3) Gamaredon (Pteranodon Campaign)

Активни атаки срещу украински военни и държавни структури (ноември 2025).
Gamaredon използва CVE-2025-6218 за доставка на:

• Pteranodon malware

• Visual Basic Script dropper-и

• нов destructive wiper → GamaWiper (първият документиран wiper на Gamaredon)

ClearSky отбелязва:
„Това е първият случай, в който Gamaredon провежда разрушителна операция, а не само шпионаж.“

Перспективата на DIAMATIX

Този случай е още едно доказателство, че:

• файловите уязвимости в популярни инструменти като WinRAR остават предпочитан вектор за целеви атаки;

• path traversal + user interaction = изключително опасна комбинация за фишинг кампании;

• организациите трябва да могат да засичат аномалии в file creation, process spawning и persistence mechanisms.

DIAMATIX MDR 360° и Shield SIEM/XDR предоставят:

• откриване на подозрителни архивни операции и payload drop;

• корелация между email telemetry, process telemetry и endpoint събития;

• разпознаване на ранни признаци за persistence (Normal.dotm, Startup write, Netlink activity, VBS spawning);

• реакция в реално време при автоматично изпълнение на файлове след login.

При активна експлоатация и държавно спонсорирани кампании, своевременното пачване и 24/7 мониторинг са критични.

Източници

• CISA KEV Catalog — Entry for CVE-2025-6218

• TheHackerNews — WinRAR Vulnerability Actively Exploited by Multiple Threat Groups

• BI.ZONE — Threat Research

• Foresiet — Analysis of Bitter APT exploitation chain

• ClearSky — Gamaredon destructive activity

• MITRE CVE Program

Свържете се с DIAMATIX